Ett virtuellt privat nätverk (VPN) är en punkt-till-punkt-anslutning som görs via ett privat eller ett offentligt nätverk, t.ex. Internet. En VPN-klient använder speciella TCP/IP-baserade protokoll som kallas tunnelprotokoll. De upprättar en säker kanal mellan två datorer, som data kan skickas genom. Sett ur de två datorernas perspektiv finns en dedicerad punkt-till-punkt-länk mellan dem, men egentligen routas data via Internet som vilket annat paket som helst. I en typisk VPN-tillämpning initierar klienten en virtuell punkt-till-punkt-anslutning till en fjärråtkomstserver via Internet. Fjärråtkomstservern svarar på anropet, autentiserar anroparen och överför data mellan VPN-klienten och organisationens privata nätverk.
Data kapslas in, eller slås in i, ett huvud för att emulera en punkt-till-punkt-länk. I huvudet finns routningsinformation som gör att data kan färdas över det delade eller det offentliga nätverket på väg mot slutmålet. Vid emulering av en privat länk krypteras de data som skickas av säkerhetsskäl. Mer information om de tunnelprotokoll som har stöd i den här versionen av Windows finns i
Information om installationskrav finns i Krav för installation av RRAS som VPN-server.
VPN-anslutning
Det finns två typer av VPN-anslutningar:
Fjärråtkomst-VPN
Med fjärråtkomst-VPN-anslutningar kan användare som arbetar hemifrån eller befinner sig på resande fot komma åt en server på ett privat nätverk med hjälp av infrastrukturen i ett offentligt nätverk som Internet. Ur användarens perspektiv är VPN en punkt-till-punkt-anslutning mellan klientdatorna och en organisations server. Hur det delade eller offentliga nätverkets infrastruktur ser ut har ingen betydelse, eftersom det logiskt verkar som om data skickas via en dedicerad privat länk.
Plats-till-plats-VPN
Med plats-till-plats-VPN-anslutningar (kallas även router-till-router-VPN-anslutningar) kan organisationer upprätta routade anslutningar mellan olika filialer eller med andra organisationer via ett offentligt nätverk med bibehållen säker kommunikation. När nätverk kopplas ihop via Internet, som följande bild visar, vidarebefordrar en VPN-aktiverad router paket till en annan VPN-aktiverad router via en VPN-anslutning. För routrarnas del verkar VPN-anslutningen logiskt vara en dedicerad datalänknivålänk.
En plats-till-plats-VPN-anslutning kopplar ihop två privata nätverk. VPN-servern tillhandahåller en routad anslutning till det nätverk som VPN-servern är kopplad till. Den anropande routern autentiserar sig mot den svarande routern och, för ömsesidiga autentiseringsändamål, autentiserar sig den svarande routern mot den anropande routern. Vid en plats-till-plats-VPN-anslutning härstammar inte paketen som någon av routrarna skickar via VPN-anslutningen från routrarna.
VPN som ansluter två fjärrplatser via Internet
Egenskaper för VPN-anslutningar
- Inkapsling. Privata data kapslas in med ett huvud som innehåller routningsinformation som gör att data kan färdas över överföringsnätverket. Exempel på inkapsling hittar du i
VPN Tunneling Protocols (https://go.microsoft.com/fwlink/?linkid=140602). - Autentisering. Autentisering vid VPN-anslutningar sker i tre olika former:
- Autentisering på användarnivå med PPP-autentisering (Point-to-Point Protocol) När en VPN-anslutning ska upprättas autentiseras den VPN-klient som försöker ansluta av VPN-servern med hjälp av PPP-metoden för autentisering på användarnivå och en kontroll sker att VPN-klienten har rätt auktorisering. Om ömsesidig autentisering används sker också en autentisering av VPN-servern hos VPN-klienten, vilket skyddar mot datorer som utger sig för att vara VPN-servrar.
- Autentisering på datornivå med hjälp av IKE (Internet Key Exchange) Vid upprättande av en säkerhetsassociation (SA) av typen IPsec (Internet Protocol security) använder både VPN-klienten och VPN-servern IKE-protokollet för att utbyta antingen datorcertifikat eller en i förväg delad nyckel. I båda fallen autentiserar VPN-servern och VPN-klienten varandra på datornivå. Autentisering genom datorcertifikat är en betydligt kraftfullare autentiseringsmetod och rekommenderas därför starkt. Autentisering på datornivå används av L2TP (Layer Two Tunneling Protocol)/IPsec eller IKE version 2-anslutningar.
- Autentisering av dataursprung och dataintegritet. Med syfte att verifiera att de data som skickas via VPN-anslutningen kommer från andra ändan av anslutningen och inte har modifierats p vägen innehåller data en krypterad kontrollsumma som bygger på en krypteringsnyckel som endast avsändaren och mottagaren känner till. Autentisering av dataursprung och dataintegritet är endast tillgänglig för L2TP/IPsec och version 2-anslutningar.
- Autentisering på användarnivå med PPP-autentisering (Point-to-Point Protocol) När en VPN-anslutning ska upprättas autentiseras den VPN-klient som försöker ansluta av VPN-servern med hjälp av PPP-metoden för autentisering på användarnivå och en kontroll sker att VPN-klienten har rätt auktorisering. Om ömsesidig autentisering används sker också en autentisering av VPN-servern hos VPN-klienten, vilket skyddar mot datorer som utger sig för att vara VPN-servrar.
- Datakryptering. Med syfte att garantera datasekretessen vid färden över det delade eller offentliga överföringsnätverket krypteras data av avsändaren och de dekrypteras av mottagaren. Krypterings- och dekrypteringsprocesserna är beroende av att både avsändaren och mottagaren använder samma krypteringsnyckel.
Avlyssnade paket som skickas via VPN-anslutningen i överföringsnätverket är oläsliga för personer som inte har tillgång till den gemensamma krypteringsnyckeln. Krypteringsnyckelns längd är en viktig säkerhetsparameter. Du kan använda beräkningstekniker för att fastställa krypteringsnyckeln. Men sådana tekniker kräver mer datorkraft och beräkningstid i takt med att krypteringsnycklarna blir större. Av den anledningen är det viktigt att använda största möjliga nyckel för att garantera datasekretessen.